Acuerdo de Procesamiento de Datos.

Este DPA se celebra entre el Controlador (el cliente empresarial que usa zlabz.io para procesar datos relacionados con sus propios usuarios, empleados o contratistas) y zlabz.io, operado por el propietario del dominio zlabz.io, actuando como el Procesador. Para los usuarios finales consumidores que se registran directamente en zlabz.io, actuamos como Controlador — este DPA no se aplica a esa relación; nuestra Política de Privacidad sí.

El asunto del procesamiento son los datos personales que el Controlador carga, crea o envía de otro modo a través del servicio zlabz.io (por ejemplo, texto de párrafos, metadatos de proyectos, identificadores de usuarios finales). El procesamiento se limita a lo necesario para entregar, asegurar y respaldar el servicio.

• Duración: mientras el Controlador tenga una suscripción activa o prueba, más un período razonable posterior a la terminación para eliminación y retención legal.
• Naturaleza: almacenamiento, alojamiento, transmisión, renderizado y recuperación de datos del Controlador dentro de la aplicación zlabz.io.
• Categorías de sujetos de datos: los usuarios finales, empleados o contratistas del Controlador que interactúan con el servicio en nombre del Controlador.
• Categorías de datos personales: identificadores de cuenta (correo electrónico, nombre), contenido enviado al editor, metadatos de uso — como se documenta en nuestra Política de Privacidad y lista de subprocesadores.

• Procesar datos personales solo bajo instrucciones documentadas del Controlador (el uso normal del servicio constituye tales instrucciones).
• Asegurar que las personas autorizadas para procesar datos personales estén obligadas por confidencialidad.
• Implementar medidas de seguridad técnicas y organizativas apropiadas (ver la siguiente sección).
• Asistir al Controlador en responder a solicitudes de sujetos de datos y, cuando sea aplicable, DPIAs y consulta previa con autoridades supervisoras.
• Poner a disposición la información necesaria para demostrar cumplimiento y permitir auditorías razonables (típicamente a través de cuestionarios escritos o informes de proveedores, dada la naturaleza de infraestructura compartida del servicio).

• Cifrado en tránsito (HTTPS / TLS) en todos los puntos finales.
• Cifrado en reposo a través de los valores predeterminados de la base de datos Convex.
• Autenticación manejada por Clerk — las contraseñas nunca son almacenadas por zlabz.io.
• Principio de menor privilegio en el código del lado del servidor, alcance por usuario de Convex, y sin rutas de acceso a datos entre inquilinos.
• Los datos de pago se mantienen estrictamente fuera de alcance — el manejo de tarjetas se delega a Dodo Payments (PCI DSS Nivel 1).

El Controlador otorga autorización general para el uso de los subprocesadores listados en zlabz.io/subprocessors. Daremos al menos 14 días de aviso de cualquier adición o cambio de subprocesador, durante los cuales el Controlador puede objetar. Si el Controlador objeta razonablemente, las partes discutirán una solución; si no se encuentra ninguna, el Controlador puede terminar el servicio afectado.

Proporcionamos puntos finales de autoservicio en /settings para que los usuarios finales puedan exportar sus datos (Artículo 20 del RGPD) y eliminar sus cuentas (Artículo 17). Para solicitudes iniciadas por el Controlador, asistiremos dentro de las capacidades técnicas del servicio, y remitiremos cualquier solicitud recibida directamente por nosotros al Controlador sin demora indebida.

En caso de un incumplimiento de datos personales que afecte a los datos del Controlador, notificaremos al Controlador sin demora indebida y en cualquier caso dentro de las 72 horas de haber tenido conocimiento, con la naturaleza del incumplimiento, categorías afectadas, consecuencias probables y medidas correctivas tomadas.

Cuando los datos personales se transfieren fuera del EEE / Reino Unido, nos basamos en las Cláusulas Contractuales Estándar (SCCs) incluidas por defecto en el DPA de cada proveedor (ver /subprocessors) y aplicamos medidas suplementarias cuando sea necesario. No transferiremos datos a una jurisdicción que carezca de protección adecuada sin un mecanismo de transferencia válido.

Al terminar el acuerdo principal de servicio o a solicitud por escrito, eliminaremos o devolveremos todos los datos personales del Controlador dentro de los 30 días, excepto donde la retención sea requerida por ley (por ejemplo, registros de facturación para cumplimiento fiscal). El Controlador puede activar una exportación en cualquier momento antes de la terminación a través de /api/user/export o nuestro equipo de soporte para conjuntos de datos más grandes.

La responsabilidad bajo este DPA está sujeta a las limitaciones y exclusiones establecidas en los Términos de Servicio, excepto donde tal limitación no esté permitida por la ley de protección de datos aplicable. Nada aquí excluye la responsabilidad que no puede ser legalmente excluida.

Notificaciones, solicitudes de sujetos de datos, informes de incumplimiento y solicitudes de firma de DPA pueden enviarse a través de nuestro canal de soporte. Respondemos dentro de dos días hábiles.